Ручное удаление вирусов на сайте
Категория: Удаление вирусов, Автор: Алексей, Дата публикации: 2016.10.23
Сегодня клиент обратился за помощью, при переходе на сайт происходит перадресация на другой домен google-statik.pw. Начнём с того, что если это крупный портал, то Яндекс буквально в этот же день помечает сайт как не безопасный, а это существенное падение трафика. Во-вторых есть пользователи у которых до сих пор не установлен антивирус, а это значит их компьютер будет заражён.
Соединился по ftp доступу к аккаунта клиента, и стал смотреть по какой причине идёт редирект. У меня же переадресация в браузере не происходила, так как антивирус Avast блокировал угрозу.
В первую очередь я обратил внимание на большой размер файла .htaccess, да и вообще в этой папке его быть не должно.
Открыл файл с помощью программы Notepad++, и увидел там злые строчки
Файл сразу же удалил с сервера, а затем полез в управление хостингом на nic.ru, и поменял пароль на ftp в разделе Веб-Сервер->Управление доступом->Ftp. Это первое, что необходимо сделать любому пользователю.
Но это было только начало, вредоносный код был прописан во все .htaccess файлы каждой папки, пришлось всё это дело удалять вручную. Зайдя в административную панель Джумлы, и просто на сайт вирус по прежнему подгружался в браузере.
Подобные проблемы встречались у меня довольно часто, и я уже знаю где искать вредоносные строчки. В шаблонах сайта!
И так открыл шаблон сайта (templates/название шаблона/) джумлы index.php (Обычно вредоносный код прописывается в этот файл), и увидел там вот такие строчки. Данные строчки говорят о том, что при разрешение экрана меньше или равно 480 будет происходить переадресация на сайт google-statik.pw.
Строчки были удалены ни только в шаблоне самого сайта, но и в шаблоне административной панели. После удаления строчек и очистки .htaccess я скачал в интернете бесплатный антивирус Ai-bolit, и попробовал запустить его с помощью программы Putty по протоколу SSH. Но увы обнаружил следующую ошибку: call to undefined function hash().
Полез в настройки веб-сервера nic.ru Веб-Сервер->Управление модулями (Управление расширениями), поставил галочку показать все расширения , и посмотрел установлен ли модуль hash в настройках php
Модуль установлен , но почему-то работать не хочет? Почему? В итоге запустил http://site.ru/ai-bolit.php в браузере и он заработал. Были найдены подозрительные файлы в подозрительных модулях,а так же файлах .htacess.
Была выполнена ручная чистка сайта, а так же удаление некоторых расширений Joomla. Более подобные проблемы на сайте не встречались. На хостинге лежало два сайта, второй домен был разработан на движке Bitrix, но к счатью мне пришлось удалть только файлы .htacess, шаблоны задеты не были. Всем удачи, и не болейте!
Соединился по ftp доступу к аккаунта клиента, и стал смотреть по какой причине идёт редирект. У меня же переадресация в браузере не происходила, так как антивирус Avast блокировал угрозу.
В первую очередь я обратил внимание на большой размер файла .htaccess, да и вообще в этой папке его быть не должно.
Открыл файл с помощью программы Notepad++, и увидел там злые строчки
Файл сразу же удалил с сервера, а затем полез в управление хостингом на nic.ru, и поменял пароль на ftp в разделе Веб-Сервер->Управление доступом->Ftp. Это первое, что необходимо сделать любому пользователю.
Но это было только начало, вредоносный код был прописан во все .htaccess файлы каждой папки, пришлось всё это дело удалять вручную. Зайдя в административную панель Джумлы, и просто на сайт вирус по прежнему подгружался в браузере.
Подобные проблемы встречались у меня довольно часто, и я уже знаю где искать вредоносные строчки. В шаблонах сайта!
И так открыл шаблон сайта (templates/название шаблона/) джумлы index.php (Обычно вредоносный код прописывается в этот файл), и увидел там вот такие строчки. Данные строчки говорят о том, что при разрешение экрана меньше или равно 480 будет происходить переадресация на сайт google-statik.pw.
Строчки были удалены ни только в шаблоне самого сайта, но и в шаблоне административной панели. После удаления строчек и очистки .htaccess я скачал в интернете бесплатный антивирус Ai-bolit, и попробовал запустить его с помощью программы Putty по протоколу SSH. Но увы обнаружил следующую ошибку: call to undefined function hash().
Полез в настройки веб-сервера nic.ru Веб-Сервер->Управление модулями (Управление расширениями), поставил галочку показать все расширения , и посмотрел установлен ли модуль hash в настройках php
Модуль установлен , но почему-то работать не хочет? Почему? В итоге запустил http://site.ru/ai-bolit.php в браузере и он заработал. Были найдены подозрительные файлы в подозрительных модулях,а так же файлах .htacess.
Была выполнена ручная чистка сайта, а так же удаление некоторых расширений Joomla. Более подобные проблемы на сайте не встречались. На хостинге лежало два сайта, второй домен был разработан на движке Bitrix, но к счатью мне пришлось удалть только файлы .htacess, шаблоны задеты не были. Всем удачи, и не болейте!
Есть вопросы? Оставьте комментарий
